contact
Twitter Linkedin

Tout le monde fait de l’OSINT… mais peu savent en développer une compétence professionnelle...

Tout le monde fait de l’OSINT… mais peu savent en développer une compétence professionnelle

  • Tags: compétence, cyber investigations, légal, osint, périmètre

Un article pour éclairer, pas pour diviser.

Ecrit par Frédéric Lenfant, Analyste fraudes et cybermenaces : l’OSINT et l’analyse criminelle sont mes outils quotidiens. (Photo prise lors de la journée osint du FIC 2024)

Dans une démarche d’analyse et d’investigation, l’information ne vaut que si elle aide à décider.

 

L’OSINT, nouveau point de friction ? ou mauvaise compréhension ?

L’OSINT revient depuis peu comme sujet qui crée des tensions. Selon l’angle d’où on l’aborde : droit, cybersécurité, fraude, conformité, journalisme, renseignement, formation… Chacun en donne une définition différente, parfois contradictoire, souvent cloisonnée. C’est précisément ce cloisonnement qui produit les confusions que l’on observe aujourd’hui.

Praticien depuis de nombreuses années et formateur depuis 2020 en OSINT ; et plus largement sur les notions de méthode et d’analyse de l’information, je ne prétends pas avoir LA réponse. Mais j’ai suffisamment de recul pour poser quelques fondamentaux que le débat actuel tend à oublier ou à mélanger. Je me suis dit que je pourrais peut être apporter également ma pierre à l’édifice.

 

1. Ce qu’est réellement l’OSINT

Une pratique ancienne, pas un acronyme récent

L’OSINT (Open Source Intelligence) n’est pas nouveau. Le terme date des années 1990 dans les milieux militaires américains. La première définition formelle écrite remonte au 1er mars 1994, dans la directive américaine Director of Central Intelligence Directive. La pratique elle-même est documentée dès le milieu du XIXe siècle aux États-Unis et au début du XXe siècle en Europe. Pendant la Seconde Guerre mondiale, les Alliés exploitaient systématiquement la presse ennemie et les émissions radio. La recherche de l’information et de la connaissance a toujours constitué un avantage stratégique à développer.

Vous faites de l’OSINT tous les jours sans le savoir

Depuis l’essor d’internet, l’osint s’est développé dans le monde civil. D’abord réservé à des profils plutôt techniques, il s’étend depuis plusieurs années à tout utilisateur d’internet. En effet, les recherches sur un moteur de recherches constitue déjà la base même de recherches en sources ouvertes. Depuis 2022, notamment avec l’arrivée de la Guerre entre la Russie et l’Ukraine, le terme d’OSINT est devenu un « buzz word » où de nombreux adeptes se sont passionnés dans la recherche et « l’analyse » de contenus publiés sur internet et les réseaux sociaux. Cette utilisation en masse du terme OSINT a peut être fait naître quelques confusions…

OSINT : revenons aux fondamentaux

On entend souvent plusieurs acronymes qui permettront de définir les concepts et mettre en évidence un objectif commun.

OSINT (Open Source Intelligence) : du renseignement produit à partir d’informations librement et légalement accessibles. Le mot clé est légalement. Pas de méthode imposée, pas de technologie spécifique. Juste une contrainte : rester du bon côté de la loi et du domaine public, pas d’ambiguïté.

ROSO (Renseignement d’Origine Sources Ouvertes) : la version française, utilisée notamment dans la doctrine militaire nationale. Le mot origine est essentiel : c’est la source qui définit le périmètre de la collecte, pas d’ambiguïté.

ROC (Renseignement d’Origine Cyber) : notion francisée développée par le Général Serge Cholley, ancien sous directeur des opérations à la Direction du Renseignement Militaire lors du FIC 2022, tend à développer le renseignement dans toutes les couches du cyberespace : web de surface, deep web, dark web. Avec ce que cela implique d’informations parfois sensibles, parfois illégales, aussi bien manipulées par des cybercriminels, des États, des concurrents, des adversaires… et parfois même des alliés.

SOCMINT (Social Media Intelligence) : du renseignement issu des réseaux et médias sociaux. Il s’agit de la même démarche mais sur un périmètre spécifique.

GEOINT (Geospatial Intelligence) : du renseignement issu de l’exploitation et de l’analyse d’images et d’informations géospatiales ou plus simplement d’emplacements géographiques dans le monde physique.

IMINT (Imagery Intelligence) ou ROIM (Renseignement d’Origine Image) : du renseignement issu de l’exploitation et l’analyse d’informations utiles au sein d’une image.

CYBINT (Cyber Intelligence) : du renseignement qui s’apparente à la Cyber Threat Intelligence (CTI) qui s’est développée ces dernières années dans le monde de la cybersécurité pour apporter de la connaissance sur les groupes d’attaquants, les modes opératoires, les outils et logiciels malveillants utilisés, les Indicateurs de Compromission (IoC). Très utile pour les CERT / CSIRT pour alimenter les SOC.

HUMINT (Human Intelligence) ou ROHUM (Renseignement Humain) : du renseignement issu du contact direct avec les individus.

Et d’autres plus spécialisés que l’on ne développera pas ici : SIGINT, FININT, COMINT, ELINT…

Encore une fois, peu importe l’appellation de ces disciplines, c’est l’information ou la donnée qui est la matière première et qui suite à son exploitation de manière méthodique, apporte une valeur actionnable. 

Une définition institutionnelle stable depuis 1994

Le Bureau du Directeur du Renseignement National américain (ODNI) définit l’OSINT comme du renseignement dérivé d’informations accessibles au public, collecté et diffusé pour répondre à des besoins spécifiques. L’OTAN retient la même logique : informations accessibles au public, données non classifiées. L’Union européenne adopte la même définition. En trente ans, personne n’a jamais réussi à écrire une définition radicalement différente.

Deux mots structurent cette définition depuis l’origine : légale et publique. Rien d’autre. L’OSINT n’a jamais eu besoin d’une loi supplémentaire pour exister.

Un renseignement, pas une liste de données

C’est le point le plus souvent mal compris. Dans son acception professionnelle, le renseignement (intelligence) est le résultat final d’un cycle complet :

  • expression du besoin,
  • collecte,
  • traitement,
  • analyse,
  • diffusion.

Un renseignement est donc un livrable élaboré, utile à une prise de décision.

Ce n’est pas une capture d’écran. Ni un export de profil LinkedIn. Ni une liste de résultats Google. Cela nécessite de mettre en relation les éléments collectés pour en générer une analyse et une plus value pour répondre à un besoin préalablement défini. La confusion entre les périmètres, la collecte brute, les catégories de données traitées et le produit d’analyse est la source de la plupart des malentendus sur ce sujet.

 

2. Ce que l’OSINT n’est pas

L’OSINT n’est pas un métier

L’OSINT une compétence transversale numérique. Au même titre que savoir lire un bilan comptable, interpréter une image satellite ou rédiger un procès-verbal. Un analyste financier, un analyste de fraude, un journaliste d’investigation, un analyste de conformité, un analyste stratégique, un avocat ou un responsable de sécurité ou de sûreté, un commercial peuvent tous pratiquer l’OSINT sans que ce soit leur titre de poste. Au même titre que l’hygiène informatique est applicable à tous en termes de cybersécurité, l’osint est une compétence extrêmement dans notre monde numérique.

Réduire l’OSINT à un métier revient à réduire la conduite automobile à une profession de chauffeur.

Pour autant, cette compétence de rechercher de l’information pour répondre à un besoin et prendre des décisions est un atout pour toute entreprise de tout domaine d’activité.

L’OSINT n’est pas de la surveillance ni du piratage

Accéder à des informations publiques n’est pas une intrusion. La ligne est nette : dès que vous accédez à des informations pour lesquelles vous n’avez pas d’autorisation — une boîte mail, un compte privé, un système informatique… vous sortez de l’OSINT et entrez dans d’autres disciplines, voire dans la cybercriminalité couvert par les articles 323-1 et suivants du code pénal.

Et l’osint fait souvent naître des tensions dés que l’on évoque les informations issues des fuites de données, provenant d’actions cybercriminelles. Effectivement ce type d’information, bien qu’elle puisse être accessible, ne constitue pas une autorisation pour l’utiliser librement et sans risque juridique pouvant s’apparenter au recel (art. 321-1 du code pénal). Pour autant, un cadre en dehors de l’OSINT existe pour l’accès aux informations issues de ces fuites de données.

L’OSINT n’est pas la RIFI – et la RIFI n’est pas du recel

La Recherche sur Internet de Fuites d’Informations (RIFI) est une discipline distincte, encadrée, reconnue par l’autorité de contrôle française. La CNIL a publié le 11 janvier 2022 une doctrine complète sur le sujet. Elle y précise la base légale applicable : l’intérêt légitime au sens de l’article 6 du RGPD, sous réserve de garanties précises (minimisation des données, durée limitée, finalité définie).

Une organisation victime d’une fuite peut légitimement rechercher ses propres données exposées, y compris sur certains espaces accessibles du dark web, à des fins de remédiation. Ce n’est pas du recel : Identifier ses propres données exposées ne remplit pas les éléments constitutifs du recel mais s’inscrit dans une démarche encadrée de Cyber Threat Intelligence.

La confusion n’est pas un vide législatif sur l’OSINT. C’est un déficit de connaissance de la doctrine existante. Pour autant, pour mettre en œuvre cette procédure, il est bien nécessaire d’avoir des éditeurs de solutions qui traitent ce type de données et c’est là que la notion professionnelle d’éthique et d’accès prend tout son sens !

L’OSINT n’est pas l’ESP (Enquête Sous Pseudonyme)

Autant l’OSINT permet de réaliser un environnement numérique sur une cible dans le cadre d’une démarche de reconnaissance passive, autant le fait de prendre contact et d’échanger avec une cible relève d’une démarche de renseignement actif, plus proche d’une action en HumInt via un vecteur numérique. Cette procédure d’ESP est encadrée pour les Forces de l’Ordre, pour des personnels formés et habilités. Elle est réservée à des catégories d’infractions qui se sont élargies ces dernières années. Mais dans le secteur privé, cette démarche peut conduire à une prise de risques importante, qui doit faire l’objet d’un cadrage anticipé très strict et doit être réservée à des actions de renseignement indispensables, dans un but bien précis et sans pour autant commettre d’infraction.

L’OSINT n’est pas forcément gratuit

La notion d’accessibilité ne veut pas nécessairement dire gratuit. A ne pas confondre non plus avec la notion de logiciels Open Source qui fait référence aux logiciels dont le code source peut être utilisé, modifié et partagé librement par quiconque. Si l’on travaille dans le domaine, on est d’ailleurs vite conscient que si l’on veut être efficace, il est nécessaire d’avoir une carte bancaire à proximité, pour avoir accès à des outils qui automatisent certains périmètres de collecte ou même de veille. Nous avons notamment la chance, en France, d’avoir des éditeurs de solutions et des professionnels de grandes qualités…

 

3. Ce que l’OSINT apporte vraiment

Vous utilisez Google ? Vous faites déjà de l’OSINT

Vous faites des recherches sur Google ? Vous faites de l’OSINT. Avec, dans la plupart des cas, une marge de progression considérable.

Un moteur de recherche constitue une base de données d’indexation de contenu. Apprendre à le requêter correctement, choisir les bons termes, les bons opérateurs, les bonnes sources… change radicalement les résultats obtenus, le niveau de connaissance produit et la capacité à comparer, vérifier, décider. C’est là que l’OSINT prend tout son sens : pas comme technologie, mais comme discipline de pensée appliquée à la recherche d’information.

Connaitre les différents moteurs de recherche, les sources pertinentes à interroger selon différentes catégories de données vous rend beaucoup plus performant et pertinent pour répondre à des questions !

Quatre capacités concrètes

Une méthode avant les outils. Le cycle du renseignement impose de définir le besoin avant d’ouvrir un navigateur. Quelle décision dois-je prendre ? De quelle information ai-je besoin pour la prendre ? Cette discipline évite le bruit informationnel qui noie les investigations non structurées.

Des techniques de recherche plus efficaces. Les opérateurs avancés des moteurs de recherche, la recherche d’image inversée, l’interrogation des métadonnées, les archives web, les bases WHOIS permettent d’accéder à des informations légales mais invisibles aux recherches ordinaires. Aucune compétence informatique avancée n’est requise pour maîtriser ces techniques mais il faut acquérir des actes réflexes pour gagner du temps.

Des sources plus pertinentes. Les moteurs de recherche grand public n’indexent qu’une fraction d’internet. Les registres d’entreprises publics (INPI, Pappers, OpenCorporates), les données géospatiales ouvertes, les registres de sanctions internationales (OFAC, gel des avoirs), les bases juridiques et les archives de presse structurées constituent des sources à haute valeur probatoire que la plupart des professionnels ignorent.

Une analyse, pas une liste. La valeur ajoutée ne réside pas dans la quantité d’informations collectées mais dans leur mise en relation. Croiser les données d’un dirigeant, de ses sociétés, de ses adresses, de ses apparitions médiatiques et de ses connexions dans des registres publics produit un tableau de risque que les mêmes informations cloisonnées n’auraient jamais révélé.

Techniques et outils spécialisés

Depuis quelques années, de nombreux outils ont vu le jour pour automatiser des processus de collecte d’informations disponibles en sources ouvertes : réseaux sociaux, applications mobiles, comptes numériques, informations diverses. Au delà des requêtes réalisées sur les moteurs de recherches, notamment les fameuses « Google Dorks », l’utilisation de ces outils, qui s’appuient sur des connecteurs API ou des techniques intelligemment développées, se révèlent extrêmement pertinente pour la phase de collecte, voire d’agrégation. Mais il reste toujours les phases d’analyse et de diffusion où l’analyste apporte toute sa valeur tout en permettant de garantir la légalité des investigations au regard du besoin.

En effet, le principe de la « pêche au chalut » atteint vite ses limites et le tri dans les données pertinentes et les faux positifs devient la compétence clé à développer pour un analyste osint.

 

L’OSINT à l’ère de l’IA : une urgence, pas une option

L’IA génère des images, des vidéos, des textes et des audios de plus en plus indiscernables du réel. Former les professionnels et les citoyens à l’OSINT n’est plus optionnel. C’est une question de sens critique, de capacité de vérification, de clairvoyance dans un flux de données qui submerge chacun d’entre nous chaque jour.

Réduire l’OSINT à une profession réglementée ou le conditionner à une législation spécifique serait un contresens. Tout le monde utilise internet. Tout le monde utilise des IA Génératives. Ces outils ont été nourris en grande partie par une démarche initialement basée sur la collecte massive de sources ouvertes, puis enrichie par des données dont la légalité d’origine n’est pas toujours sans ambiguïté. Personne ne s’en offusque dans ce cas-là.

La donnée, l’information, la connaissance, le renseignement… c’est une richesse. Apprenons à la maîtriser et à l’optimiser plutôt qu’à la brider.

 

4. Qui en a besoin ? bien au-delà des métiers réglementés

Voici une liste non exhaustive de métiers pour lesquels la maîtrise de l’OSINT est un besoin réel et quotidien. Et aucun n’est intitulé « OSINT analyst ».

Secteur juridique et judiciaire : avocats (due diligence adverse, recherche de patrimoine), huissiers (localisation d’actifs), notaires, magistrats, enquêteurs, experts de justice.

Secteur financier et assurance : analystes crédit, gestionnaires de risque, responsables conformité LCB-FT, enquêteurs fraude assurance, auditeurs, directions juridiques.

Secteur RH et recrutement : DRH, chasseurs de têtes, vérification des antécédents pour les postes sensibles.

Secteur commercial et stratégique : directeurs commerciaux (veille concurrentielle), acheteurs (qualification des fournisseurs), directions générales (intelligence économique), analystes M&A (Mergers & Acquisitions).

Secteur médiatique et académique : journalistes d’investigation, chercheurs, fact-checkers.

Secteur de la sécurité privée et cyber : Risk managers, RSSI, analystes Threat Intelligence (cybermenaces), analystes fraudes, cyber fraudes, gestionnaires de crise, équipes SOC / CSIRT.

Secteur public et institutionnel : collectivités locales, administrations fiscales, CNAM, CAF, ANAH, CDC, douanes, autorités de régulation (AMF, ACPR, CNIL).

Secteur des nouvelles technologies : data analysts, Product Managers, équipes de conformité réglementaire, développeurs de solutions d’investigation numérique.

 

5. Le RGPD, utile comme cadre juridique

Il existe des situations où la question juridique se pose vraiment. Pas parce que l’OSINT est ambigu, mais parce que les données traitées peuvent être des données personnelles ou particulièrement sensibles. Même si elles sont accessibles publiquement, il est important de ne pas faire n’importe quoi avec les données.

Le RGPD comme grille de lecture opérationnelle

Avant toute recherche impliquant des données potentiellement sensibles ou personnelles, plusieurs questions peuvent vous aider à cadrer vos investigations en osint.

  1. Finalité

Pourquoi je cherche ? La réponse doit être précise et définie avant de commencer. « Surveiller les fuites » n’est pas une finalité. « Détecter si des identifiants de connexion de nos collaborateurs circulent sur des forums cybercriminels afin de déclencher une procédure de réinitialisation » en est une. Détecter des indices d’anormalités ou d’incohérences dans la lutte contre la fraude est souvent un bon moyens pour mettre en évidence des éléments permettant de prendre des décisions plus éclairées.

La finalité détermine tout ce qui suit : les sources consultées, les données collectées, la durée de conservation, les droits exercés. Sans finalité définie, vous n’avez pas une investigation. Vous avez une collecte incontrôlée et surtout la finalité permet de définir l’expression du besoin.

  1. Base légale

Sur quoi je m’appuie pour traiter ces données ? Le RGPD liste six bases légales (art. 6). Dans les cas qui nous occupent, deux sont généralement mobilisés. L’intérêt légitime (art. 6.1.f) pour la lutte contre la fraude. De même, dans le cas où une organisation recherche ses propres données exposées : la CNIL l’a explicitement reconnu dans sa doctrine RIFI du 11 janvier 2022, en précisant que la sécurité des systèmes d’information constitue un intérêt légitime au sens du considérant 49. L’obligation légale (art. 6.1.c) pour les acteurs soumis à des obligations réglementaires spécifiques : responsables LCB-FT dans le cadre de leurs obligations de vigilance. Sans base légale identifiée, le traitement pourrait être considéré comme illicite.

  1. Proportionnalité

Est-ce que ce que je collecte est strictement nécessaire à ma finalité ? C’est le principe de minimisation (art. 5.1.c RGPD). Selon la finalité et la base légale, la profondeur de l’investigation en osint peut varier. Entre la capacité et la nécessité, parfois, il n’est pas utile d’aller très loin pour répondre au besoin initial. C’est là que diffère la démarche ludique de la démarche professionnelle.

  1. Périmètre

Quelles sources, quels espaces, quelles données ? Le périmètre doit être défini, encore une fois pour répondre au besoin. La stratégie de recherche et la méthode est un atout pour éviter le bruit informationnel. Un périmètre flou produit une collecte floue pour une analyse partielle qui expose à une décision peu éclairée. En investigation judiciaire, le périmètre peut être plus large selon les besoins couverts par le magistrat. En secteur privé, il est fixé par la finalité et la base légale. Dans les deux cas, il est réfléchi en amont de la phase de collecte.

  1. Éthique

L’éthique en osint ne se résume pas à la légalité. Une action peut être techniquement légale et éthiquement inacceptable. L’éthique est aussi une protection pour l’analyste : une démarche documentable, traçable et justifiable est une démarche défendable. Cette notion d’intention est également un point essentiel pour constituer l’élément moral dans une possible infraction.

Bien d’autres éléments peuvent et doivent faire l’objet d’une réflexion approfondie lorsque l’osint intervient dans un cadre professionnel…

 

Pour conclure

L’OSINT n’est pas une pratique de l’ombre. C’est une méthode de travail rigoureuse, ancienne, légale et utile à toute personne dont le travail repose sur une décision informée.

Le vrai sujet n’est pas réglementaire. Il est pédagogique. Nous avons besoin d’une meilleure connaissance des doctrines existantes, et d’un effort massif de montée en compétence des professionnels qui, chaque jour, prennent des décisions à partir d’informations incomplètes parce que personne ne leur a appris à chercher autrement.

L’OSINT ne résout pas tout. Mais bien pratiqué, il structure la pensée, affine la question, et élargit le champ de ce que l’on peut vérifier par soi-même. Dans un monde où l’IA fabrique du faux à grande échelle, c’est déjà beaucoup.

Pour ma part, j’utilise l’osint et l’analyse criminelle (analyse relationnelle visuelle) au quotidien dans le cadre de la lutte anti fraudes, pour aider les organisations à prendre de meilleures décisions !

Si cette démarche vous intéresse, vous pouvez prendre connaissance de nos formations MARVADRISK ® délivrées dans le cadre de notre Organisme de Formation, certifié Qualiopi.

A lire également